# Preguntas frecuentes generales de seguridad


## ¿Cómo reporto una vulnerabilidad?

Si has descubierto una vulnerabilidad de seguridad en Docker, repórtala de manera responsable a security@docker.com para que Docker pueda abordarla rápidamente.

## ¿Bloquea Docker a los usuarios después de inicios de sesión fallidos?

Docker Hub bloquea a los usuarios después de 10 intentos fallidos de inicio de sesión en un lapso de 5 minutos. La duración del bloqueo es de 5 minutos. Esta política se aplica a la autenticación en Docker Hub, Docker Desktop y Docker Scout.

## ¿Admiten la autenticación multifactor (MFA) física con YubiKeys?

Puedes configurar la autenticación multifactor (MFA) física a través de SSO utilizando tu proveedor de identidad (IdP). Consulta con tu IdP si admite dispositivos MFA físicos como YubiKeys.

## ¿Cómo se gestionan las sesiones y cuándo expiran?

Docker utiliza tokens para gestionar las sesiones de los usuarios con diferentes periodos de expiración:

- **Docker Desktop:** Cierra tu sesión después de 90 días, o tras 30 días de inactividad.
- **Docker Hub y Docker Home:** Cierran tu sesión después de 24 horas.

Docker también admite el tiempo de espera de sesión predeterminado de tu IdP a través de atributos SAML. Para obtener más información, consulta [Atributos de SSO](/enterprise/security/provisioning/#sso-attributes).

## ¿Cómo distingue Docker entre usuarios empleados y contratistas?

Las organizaciones utilizan dominios verificados para distinguir los tipos de usuarios. Los miembros del equipo con dominios de correo electrónico distintos a los dominios verificados aparecen como usuarios "Guest" (Invitados) en la organización.

## ¿Durante cuánto tiempo están disponibles los registros de actividad?

Los registros de actividad de Docker están disponibles durante 90 días. Eres responsable de exportar los registros o configurar controladores (drivers) para enviarlos a tus sistemas internos si deseas una retención más prolongada.

## ¿Puedo exportar una lista de usuarios con sus roles y privilegios?

Sí, utiliza la función [Export Members](/admin/organization/manage/members/#export-members-csv-file) (Exportar miembros) para exportar un archivo CSV que contiene los usuarios de tu organización con información sobre su rol y equipo.

## ¿Cómo maneja Docker Desktop la información de autenticación?

Docker Desktop utiliza el sistema de gestión de claves seguro del sistema operativo host para almacenar los tokens de autenticación:

- **macOS:** [Keychain](https://support.apple.com/guide/security/keychain-data-protection-secb0694df1a/web)
- **Windows:** [Security and Identity API via Wincred](https://learn.microsoft.com/en-us/windows/win32/api/wincred/)
- **Linux:** [Pass](https://www.passwordstore.org/).

## ¿Cómo elimino a los usuarios que no forman parte de mi IdP cuando utilizo SSO sin SCIM?

Si SCIM no está activado, debes eliminar manualmente a los usuarios de la organización. SCIM puede automatizar la eliminación de usuarios, pero solo para los usuarios agregados después de que se active SCIM. Los usuarios agregados antes de que se activara SCIM deben eliminarse de forma manual.

Para obtener más información, consulta [Administrar miembros de la organización](/admin/organization/manage/members/).

## ¿Qué metadatos recopila Scout de las imágenes de contenedor?

Para obtener información sobre los metadatos almacenados por Docker Scout, consulta [Manejo de datos](/scout/deep-dive/data-handling/).

## ¿Cómo se evalúa la seguridad de las extensiones del Marketplace?

No se implementa una revisión de seguridad para las extensiones. Las extensiones no están cubiertas como parte del Programa de Gestión de Riesgos de Terceros de Docker.

## ¿Puedo evitar que los usuarios envíen imágenes a repositorios privados de Docker Hub?

No existe una configuración directa para deshabilitar los repositorios privados. Sin embargo, [Registry Access Management](/enterprise/security/hardened-desktop/registry-access-management/) permite a los administradores controlar a qué registros pueden acceder los desarrolladores a través de Docker Desktop mediante la consola de administración.